ESET-onderzoekers hebben hun onderzoek gepubliceerd naar één van de meest geavanceerde server-side malware campagnes, die nog steeds groeit en honderdduizenden gecompromitteerde servers heeft gezien in de minstens 15 jaar durende operatie. De beruchte Ebury-groep en het botnet hebben zich door de jaren heen onder andere beziggehouden met het verspreiden van spam, het omleiden van webverkeer en het stelen van referenties. In de afgelopen jaren heeft het zich uitgebreid naar diefstal van creditcards en cryptocurrency. Daarnaast is Ebury ingezet als achterdeur om bijna 400.000 Linux, FreeBSD en OpenBSD servers te compromitteren; meer dan 100.000 waren eind 2023 nog steeds gecompromitteerd. In veel gevallen waren de beheerders van Ebury in staat om volledige toegang te krijgen tot grote servers van ISP’s en bekende hostingproviders.
Tien jaar geleden publiceerde ESET een whitepaper over Operation Windigo, die gebruik maakt van meerdere malwarefamilies die in combinatie werken, met de Ebury-malwarefamilie als middelpunt. Eind 2021 nam de Nederlandse National High Tech Crime Unit (NHTCU), onderdeel van de Nederlandse nationale politie, contact op met ESET met betrekking tot servers in Nederland die verdacht werden gecompromitteerd te zijn met Ebury malware. Die vermoedens bleken gegrond en met de hulp van NHTCU heeft ESET Research aanzienlijk zicht gekregen op operaties die worden uitgevoerd door de Ebury-aanvallers.
“Na de publicatie van de Windigo-paper begin 2014 werd één van de daders in 2015 aan de Fins-Russische grens gearresteerd en later uitgeleverd aan de Verenigde Staten. Hoewel hij aanvankelijk beweerde onschuldig te zijn, bekende hij uiteindelijk schuld aan de beschuldigingen in 2017, een paar weken voordat zijn rechtszaak in het Amerikaanse District Court in Minneapolis zou beginnen en waar ESET-onderzoekers zouden getuigen,” zegt Marc-Etienne M. Léveillé, de ESET-onderzoeker die Ebury meer dan tien jaar onderzocht.
Ebury is actief sinds 2009, het is een OpenSSH backdoor en een credential stealer. Het wordt gebruikt om aanvullende malware in te zetten om: het botnet te verzilveren (zoals modules voor het omleiden van webverkeer), proxy-verkeer voor spam, adversary-in-the-middle-aanvallen (AitM) uit te voeren en ondersteunende kwaadaardige infrastructuur te hosten. Bij AitM-aanvallen heeft ESET tussen februari 2022 en mei 2023 meer dan 200 doelwitten waargenomen op meer dan 75 netwerken in 34 verschillende landen.
De exploitanten hebben het Ebury-botnet gebruikt om cryptocurrency-portefeuilles, referenties en creditcardgegevens te stelen. ESET heeft nieuwe malwarefamilies ontdekt die door de APT-groep zijn gemaakt en ingezet voor financieel gewin, waaronder Apache-modules en een kernelmodule om webverkeer om te leiden. De beheerders van Ebury gebruikten ook zero-day kwetsbaarheden in beheersoftware om servers in bulk aan te vallen.
Nadat een systeem is gecompromitteerd, worden een aantal gegevens geëxfiltreerd. Met de bekende wachtwoorden en inloggegevens die op dat systeem zijn verkregen, wordt geprobeerd in te loggen op verwante systemen. Elke nieuwe grote versie van Ebury introduceert een aantal belangrijke veranderingen, nieuwe functies en verduistertechnieken.
“We hebben gevallen gedocumenteerd waarbij de infrastructuur van hostingproviders werd gecompromitteerd door Ebury. In deze gevallen hebben we gezien dat Ebury werd ingezet op servers die door deze providers werden verhuurd, zonder waarschuwing aan de huurders. Dit resulteerde in gevallen waarin de Ebury-actoren in staat waren om duizenden servers tegelijk aan te vallen,” zegt Léveillé.
Ebury kent geen geografische grenzen; er zijn servers met Ebury gecompromitteerd in bijna alle landen ter wereld. Wanneer een hostingprovider werd gecompromitteerd, leidde dit tot een groot aantal gecompromitteerde servers in dezelfde datacenters.
Tegelijkertijd lijkt geen enkele sector meer doelwit dan andere. Slachtoffers zijn onder andere universiteiten, kleine en grote ondernemingen, internet service providers, cryptocurrency handelaren, Tor exit nodes, shared hosting providers en dedicated server providers, om er een paar te noemen.
Eind 2019 werd de infrastructuur van een grote en populaire Amerikaanse domeinregistreerder en webhostingprovider gecompromitteerd. In totaal werden ongeveer 2.500 fysieke en 60.000 virtuele servers gecompromitteerd door de aanvallers. Een zeer groot deel, zo niet alle, van deze servers wordt gedeeld door meerdere gebruikers om de websites van meer dan 1,5 miljoen accounts te hosten. Bij een ander incident werden in 2023 in totaal 70.000 servers van die hostingprovider gecompromitteerd door Ebury. Kernel.org, dat de broncode van de Linux kernel host, was ook slachtoffer van Ebury.
“Ebury vormt een serieuze dreiging en een uitdaging voor de Linux securitycommunity. Er is geen eenvoudige oplossing die Ebury ineffectief zou maken, maar een handvol mitigaties kunnen worden toegepast om de verspreiding en impact te minimaliseren. Eén ding om te beseffen is dat het niet alleen gebeurt bij organisaties of individuen die minder om beveiliging geven. Veel zeer technisch onderlegde individuen en grote organisaties behoren tot de lijst van slachtoffers,” concludeert Léveillé.
Lees de volledige whitepaper “Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain” voor meer technische informatie en een set tools en indicatoren om systeembeheerders te helpen bepalen of hun systemen gecompromitteerd zijn door Ebury. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws van ESET Research.
0 reacties